Ochrona danych - Data security
Bezpieczeństwo danych oznacza ochronę danych cyfrowych , takich jak te znajdujące się w bazie danych , przed siłami destrukcyjnymi oraz przed niepożądanymi działaniami nieautoryzowanych użytkowników, takimi jak cyberatak lub naruszenie danych .
Technologie
Szyfrowanie dysku
Szyfrowanie dysku odnosi się do technologii szyfrowania , która szyfruje dane na dysku twardym . Szyfrowanie dysku zwykle ma formę oprogramowania (zobacz oprogramowanie do szyfrowania dysków ) lub sprzętu (zobacz sprzęt do szyfrowania dysków ). Szyfrowanie dysku jest często określane jako szyfrowanie w locie (OTFE) lub szyfrowanie przezroczyste.
Oprogramowanie kontra sprzętowe mechanizmy ochrony danych
Oparte na oprogramowaniu rozwiązania zabezpieczające szyfrują dane, aby chronić je przed kradzieżą. Jednak złośliwy program lub haker może uszkodzić dane , uniemożliwiając ich odzyskanie, czyniąc system bezużytecznym. Sprzętowe rozwiązania bezpieczeństwa uniemożliwiają dostęp do danych w trybie odczytu i zapisu, co zapewnia bardzo silną ochronę przed manipulacją i nieautoryzowanym dostępem.
Zabezpieczenia sprzętowe lub wspomagane zabezpieczenia komputerowe stanowią alternatywę dla zabezpieczeń komputerowych opartych wyłącznie na oprogramowaniu. Tokeny zabezpieczające, takie jak te korzystające z PKCS#11, mogą być bezpieczniejsze ze względu na fizyczny dostęp wymagany do złamania zabezpieczeń. Dostęp jest możliwy tylko wtedy, gdy token jest podłączony i wprowadzono poprawny kod PIN (patrz uwierzytelnianie dwuskładnikowe ). Jednak klucze sprzętowe mogą być używane przez każdego, kto może uzyskać do nich fizyczny dostęp. Nowsze technologie w zabezpieczeniach sprzętowych rozwiązują ten problem, oferując pełne zabezpieczenie danych.
Praca z zabezpieczeniami sprzętowymi: urządzenie sprzętowe umożliwia użytkownikowi logowanie się, wylogowanie i ustawianie różnych poziomów za pomocą działań ręcznych. Urządzenie wykorzystuje technologię biometryczną, aby uniemożliwić złośliwym użytkownikom zalogowanie się, wylogowanie i zmianę poziomów uprawnień. Aktualny stan użytkownika urządzenia jest odczytywany przez kontrolery w urządzeniach peryferyjnych takich jak dyski twarde. Nielegalny dostęp złośliwego użytkownika lub złośliwego programu jest przerywany na podstawie aktualnego stanu użytkownika przez kontrolery dysków twardych i DVD uniemożliwiające nielegalny dostęp do danych. Sprzętowa kontrola dostępu jest bezpieczniejsza niż ochrona zapewniana przez systemy operacyjne, ponieważ systemy operacyjne są podatne na złośliwe ataki wirusów i hakerów. Dane na dyskach twardych mogą zostać uszkodzone po uzyskaniu złośliwego dostępu. W przypadku ochrony sprzętowej oprogramowanie nie może manipulować poziomami uprawnień użytkownika. To jest niemożliwe dla hakerów lub złośliwego programu w celu uzyskania dostępu do zabezpieczonych danych chronionych przez sprzęt lub wykonują nieautoryzowane operacje uprzywilejowane. To założenie jest łamane tylko wtedy, gdy sam sprzęt jest złośliwy lub zawiera backdoora. Sprzęt chroni obraz systemu operacyjnego i uprawnienia systemu plików przed naruszeniem. Dzięki temu można stworzyć całkowicie bezpieczny system przy użyciu kombinacji zabezpieczeń sprzętowych i zasad bezpiecznego administrowania systemem.
Kopie zapasowe
Kopie zapasowe służą do zapewnienia możliwości odzyskania utraconych danych z innego źródła. Utrzymywanie kopii zapasowej wszelkich danych w większości branż jest uważane za niezbędne, a proces ten jest zalecany dla wszystkich plików ważnych dla użytkownika.
Maskowanie danych
Maskowanie danych strukturalnych to proces ukrywania (maskowania) określonych danych w tabeli lub komórce bazy danych w celu zapewnienia, że dane są zachowane, a poufne informacje nie są narażone na nieupoważniony personel. Może to obejmować maskowanie danych od użytkowników (na przykład, aby przedstawiciele klientów bankowych widzieli tylko 4 ostatnie cyfry krajowego numeru identyfikacyjnego klienta), programistów (którzy potrzebują prawdziwych danych produkcyjnych do testowania nowych wersji oprogramowania, ale nie powinni widzieć wrażliwych dane finansowe), dostawcy outsourcingu itp.
Usuwanie danych
Wymazywanie danych to metoda nadpisywania opartego na oprogramowaniu, która całkowicie usuwa wszystkie dane elektroniczne znajdujące się na dysku twardym lub innym nośniku cyfrowym, aby zapewnić, że żadne poufne dane nie zostaną utracone w przypadku wycofania zasobu lub ponownego użycia.
Międzynarodowe prawa i standardy
Prawa międzynarodowe
W Wielkiej Brytanii The ustawy o ochronie danych służy do zapewnienia, że dane osobowe są dostępne dla tych, których to dotyczy, oraz zapewnia zadośćuczynienia osobom, jeżeli istnieją nieścisłości. Jest to szczególnie ważne, aby zapewnić sprawiedliwe traktowanie osób, na przykład w celu sprawdzenia zdolności kredytowej. Ustawa o ochronie danych stanowi, że tylko osoby i firmy z uzasadnionych i zgodnych z prawem powodów mogą przetwarzać dane osobowe i nie mogą być udostępniane. Dzień Prywatności Danych to międzynarodowe święto rozpoczęte przez Radę Europy, które przypada 28 stycznia.
Odkąd 25 maja 2018 r. weszło w życie ogólne rozporządzenie o ochronie danych (RODO) Unii Europejskiej (UE), organizacje mogą spotkać się z poważnymi karami w wysokości do 20 mln euro lub 4% ich rocznych przychodów, jeśli nie będą przestrzegać tego rozporządzenia . Planuje się, że RODO zmusi organizacje do zrozumienia zagrożeń związanych z prywatnością danych i podjęcia odpowiednich środków w celu zmniejszenia ryzyka nieuprawnionego ujawnienia prywatnych informacji konsumentów.
Międzynarodowe standardy
Międzynarodowe normy ISO/IEC 27001:2013 i ISO/IEC 27002:2013 obejmują bezpieczeństwo danych w temacie bezpieczeństwa informacji , a jedną z ich głównych zasad jest to, że wszystkie przechowywane informacje, tj. dane, powinny być własnością, aby było jasne, czyje obowiązkiem jest ochrona i kontrola dostępu do tych danych. Oto przykłady organizacji, które pomagają wzmocnić i ujednolicić bezpieczeństwo komputerów:
Trusted Computing Group jest organizacją, która pomaga STANDARDIZE informatyki technologii zabezpieczeń.
Payment Card Industry Data standard bezpieczeństwa (PCI DSS) jest zastrzeżonym międzynarodowy standard bezpieczeństwa informacji dla organizacji, które informacje uchwyt dla posiadacza karty głównej debetowej , kredytowej , prepaid, e-portmonetka , bankomatów i kart punktu sprzedaży.
Ogólne rozporządzenie o ochronie danych (PKBR) zaproponowany przez Komisję Europejską wzmocni i unify ochrony danych dla osób w ramach Unii Europejskiej (UE), podczas adresowania eksport danych osobowych poza UE.
Zobacz też
- Ochrona przed kopiowaniem
- Przepisy dotyczące bezpieczeństwa cybernetycznego
- Bezpieczeństwo zorientowane na dane
- Usuwanie danych
- Maskowanie danych
- Odzyskiwanie danych
- Dziedziczenie cyfrowe
- Szyfrowanie dysku
- Bezpieczeństwo oparte na tożsamości
- Bezpieczeństwo informacji
- Zapewnienie sieci IT
- Metoda Merritta
- Uwierzytelnianie przed uruchomieniem
- Inżynieria prywatności
- Prawo prywatności
- Przepisy dotyczące powiadamiania o naruszeniu bezpieczeństwa
- Jednokrotne logowanie
- Karta inteligentna
- Tokenizacja
- Przejrzyste szyfrowanie danych
- Bezpieczeństwo pamięci flash USB